Escrito por Neil Tyagi y Fernando Ruiz En un mundo en evolución digital, la conveniencia de realizar operaciones bancarias a través de aplicaciones móviles ha revolucionado las transacciones financieras. Sin embargo, este avance también ha abierto las puertas a un adversario menos conocido: el phishing en Android. Únase a nosotros mientras profundizamos en el ámbito clandestino de las amenazas cibernéticas dirigidas al sector bancario de la India. Este blog descubre los matices de una aplicación de phishing/troyano bancario de Android identificada como Android/Banker.AFX que ilustra un procedimiento común de los ciberdelincuentes diseñado para vaciar las cuentas bancarias de sus víctimas: primero, transmite mensajes de phishing a través de WhatsApp y atrae a los usuarios para que instalen una aplicación que lleva código malicioso oculto como herramienta de verificación. Una vez instalado, el troyano bancario puede recopilar información personal y financiera e interceptar mensajes SMS con el objetivo de robar contraseñas de un solo uso o códigos de verificación necesarios para completar transacciones que pueden conducir al robo de los activos de la cuenta bancaria. Este troyano es solo una variante y un ejemplo de múltiples implementaciones de troyanos bancarios observadas recientemente en la naturaleza que conllevan riesgos similares, que no es técnicamente sofisticado pero podría ser muy efectivo y prevalente, especialmente cuando se distribuye ampliamente en las redes sociales. McAfee Mobile Security protege de forma amplia y genérica contra este tipo de troyanos bancarios. Este blog explora las tácticas insidiosas, las tendencias alarmantes y las medidas preventivas contra la creciente ola de ataques de phishing que afectan a los usuarios de Android en el panorama financiero de la India. Método de distribución: plataformas de mensajería El atractivo inicial es un mensaje alarmante de WhatsApp que solicita al usuario que descargue un paquete de Android (APK) para completar un procedimiento de verificación obligatorio llevado a cabo por instituciones financieras conocido como Know Your Customer (KYC), de lo contrario la cuenta sería bloqueada. Se crea una sensación de urgencia para el usuario al advertirle que la cuenta será bloqueada si no instala el APK y proporciona la información necesaria para completar el formulario KYC. Estas indicaciones aparentemente inocentes, meticulosamente elaboradas por ciberdelincuentes, poseen una astuta sofisticación que refleja los canales de comunicación legítimos de las instituciones bancarias. Se aprovechan de la curiosidad, el miedo y el deseo humanos, engañando a los usuarios para que realicen acciones inmediatas que, a primera vista, parecen inofensivas pero que tienen consecuencias de gran alcance. Instalación y ejecución Dado que Whatsapp activa el instalador de la aplicación, Android debe bloquear la instalación de forma predeterminada a menos que el usuario haya permitido previamente la instalación de aplicaciones desconocidas de esta fuente. Se muestra una advertencia después de tocar el ícono APK: Sin embargo, si los usuarios ignoran la advertencia, pueden desactivar esta importante característica de seguridad con solo dos clics: ahora el sistema operativo Android advierte sobre el riesgo de permitir la instalación de aplicaciones desconocidas desde WhatsApp. Sin embargo, muchos usuarios permiten esta opción, lo que supone un alto riesgo de infección. Una vez instalado el troyano, las víctimas obtendrán el ícono de la institución financiera en su lista de aplicaciones de Android: después de la instalación, abusa del ícono de SBI para confundir al usuario. Al abrirse por primera vez, solicita permisos relacionados con SMS. La página de inicio de la aplicación es similar a la página de banca neta de Real SBI. Este sitio de phishing se carga localmente desde el malware en un WebView. La aplicación solicita el nombre de usuario, la contraseña y el número de teléfono del usuario. El Captcha utilizado aquí es estático. No cambia nunca porque todo el contenido está codificado localmente. Como parte del proceso de validación de KYC, el malware recopila información confidencial del usuario, como: nombre completo, fecha de nacimiento, números de cuenta, CIF, PAN y Aadhar. Información de la tarjeta de crédito. Después de que la víctima ingresa toda la información, se le presenta una copia falsa. Código de validación KYC, que hace que parezca un procedimiento genuino y que el usuario no sospeche de la aplicación o el proceso. Además, este troyano bancario intercepta mensajes SMS y abusa de Firebase para comunicarse con los atacantes. Durante el análisis, el malware transmitió toda la información recopilada, incluida la información de la tarjeta de crédito, a: wss[:]//s-usc1a-nss-2003.firebaseio.com/.ws?v=5&ns=zero-a4c52-default-rtdb Según el análisis estático, cualquier mensaje SMS recibido también sería filtrado a los servidores de los atacantes a través del canal abierto comunicación por socket ya que la aplicación ha otorgado permisos de lectura de SMS en la primera ejecución. Esto se implementa para extraer cualquier OTP necesaria para completar las transacciones de la víctima. La información de la tarjeta de crédito extraída del sitio estático local cargado por el malware abusa del marco Cordova. La información de la tarjeta de crédito, junto con toda la información recopilada, se transmite a los atacantes mediante Firebase, un servicio legítimo del que también abusan los delincuentes. Análisis estático Este malware requiere permisos comunes; sin embargo, es importante resaltar que RECEIVE_SMS es un permiso muy peligroso que solo debe otorgarse a aplicaciones relacionadas con mensajería en las que usted confía. Si las aplicaciones instaladas desde fuentes de terceros lo requieren, es una señal de alerta: INTERNET REQUEST_INSTALL_PACKAGES RECEIVE_SMS ACCESS_NETWORK_STATE Información recopilada por el sitio de phishing: nombre de usuario contraseña número de teléfono fecha de nacimiento número de cuenta Número CIF número pan número de tarjeta de débito Número CVV PIN de cajero automático El paquete principal lleva el nombre de hello.uwer.hello.hello.google.is.the.best, que contiene MainActivity para APK: la primera función oncreate solicita permiso de lectura de SMS al usuario, y cuando el usuario otorga el permiso, el el usuario es recibido con el mensaje «gracias -Team SBI» o «No podemos verificar hasta que usted lo permita -Team Bank». Se requiere permiso de lectura de mensajes para monitorear cualquier mensaje entrante, preferiblemente OTP, para que puedan reenviarse al atacante. para obtener acceso a la cuenta, evitando cualquier autenticación de 2 factores basada en OTP. Todos los mensajes entrantes se guardan en la base de datos y luego se reenvían al atacante. La configuración de Firebase se almacena en el APK junto con la clave API. La información de la tarjeta de débito/crédito se envía mediante Firebase. El número Aadhar del usuario, el CIF (archivo de información del cliente) y la información del usuario se recopilan y envían a Firebase. Telemetría y seguridad de Mcafee McAfee Mobile Security protege proactivamente contra esta amenaza como Android/Banker.AXF!ML. McAfee ha prevenido más de 360 ​​infecciones de dispositivos con Android/Banker.AXF!ML en los últimos 30 días. India subraya la grave amenaza que representa este malware bancario dentro del panorama digital del país, con algunos ataques encontrados en otras partes del mundo, posiblemente de usuarios indios de SBI que viven en otros países. Infecciones de Android/Banker.AXF!ML en todo el mundo: India es el objetivo. La postura proactiva adoptada por McAfee contra Android/Banker.AXF!ML subraya su compromiso de proteger a los usuarios del panorama en constante evolución del phishing y las amenazas bancarias basadas en Android, enfatizando la importancia de medidas sólidas de ciberseguridad para salvaguardar la integridad de los datos financieros personales. . Conclusión Los troyanos bancarios no son nuevos ni sofisticados, pero son una amenaza persistente debido al lucrativo negocio que representan para los autores de malware y que pueden atraer a muchas víctimas que desconocen el riesgo de phishing. Como estas campañas pueden ser masivas, incluso si un pequeño porcentaje de las víctimas objetivo caen, los delincuentes pueden hacerse con un gran botín. Los ciberdelincuentes mejoran constantemente sus trucos de ingeniería social para atraer a los usuarios al phishing y al malware. La primera línea de defensa contra estas amenazas es la conciencia del usuario. Recomendamos: Evite instalar aplicaciones de fuentes de terceros, especialmente aplicaciones recibidas por aplicaciones de mensajería. No active la opción «instalar aplicaciones desconocidas» en aplicaciones de redes sociales. No confíe ni haga clic en mensajes recibidos de fuentes no confiables en las redes sociales. Para las aplicaciones bancarias, visite el sitio web oficial y las tiendas de aplicaciones oficiales. Si es posible, utilice una solución antivirus confiable como McAfee Mobile Security, que protege genéricamente contra este tipo de amenazas. McAfee Antivirus emerge como un aliado formidable en la batalla contra el phishing de Android dentro del sector bancario de la India. Con su sólido conjunto de funciones de seguridad diseñadas para dispositivos móviles, McAfee se erige como un baluarte que proporciona mecanismos de defensa críticos contra el panorama en constante mutación de las amenazas cibernéticas. Indicadores de paquete Hash de compromiso 7cfc6360e69d22b09a28c940caf628959d11176e27b8a03e15b020b369569415 hello.uwer.hello.hello.google.isthe.best b067f5903e23288842ad056d4b31299b3 b30052abe69bee236136b2b9fcab6a8 hello.uwer.hello.hello.google.is.the.best e2e097ef433be75dcab830baa4b08feb4a24267c46b568fd4aef00dbb081ed8f hello.uwer.hello.hello.google.is. el.mejor 9f046f769760d52a97680a91fd511f1e86c428b9eec27d7eb486b7b4d0666f0b hola.uwer.hola.hola.google.es.el.mejor 1c69b0a69ed1631a1f1b54627a9b5dac3b214a2 75280de36d05ee75021cbfb04 hola.uwer.hola.hola.google.is.the.best 495ab4efd3d1ec9bfc2d08d80df316aad20dc76e625374627fabea06f5151584 hola.uwer.hello.hello.google.is.the. mejor 6190144b56e06af8aeeeba2104a665a555d01f6ec2a22ba78212d943ac2b258d hola.uwer.hello.hello.google.is the.best 6c6ea9fbeae967fb53ab9984edda9b754fb6d3f85b4ff5b14e1 fd33399362ba4 hello.uwer.hello.hello.google.is.the.best host de Firebase abusado: Wss[:]//s-usc1a-nss-2003.firebaseio.com/.ws?v=5&ns=zero-a4c52-default-rtdb Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=»1″ width =»1″ style=»display:none» src=»https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1″ />\x3C/noscript>’);